Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Agente de Otimização de Acesso Condicional para Microsoft Entra inclui uma funcionalidade de implementação faseada que ajuda as organizações a implementar novas políticas de Acesso Condicional de forma segura e eficiente. Esse recurso do Microsoft Security Copilot no Microsoft Entra permite que os administradores introduzam políticas gradualmente, monitorem seu impacto e minimizem interrupções. Esse recurso de implantação em fases fornece implantação gradual de novas políticas para minimizar a chance de interrupção generalizada para os usuários finais e reduzir a necessidade de análise e planejamento manuais, economizando semanas de esforço. Tal como em todos os aspetos do Agente de Otimização de Acesso Condicional, os administradores mantêm controlo total sobre as alterações de políticas, como seleção de grupos, ritmo de implementação e implementação. Também é fornecida uma fundamentação clara para o plano de implantação, a fim de manter a transparência.
Este artigo explica como funciona o processo de distribuição em fases, descreve os pré-requisitos e descreve as salvaguardas internas que ajudam a garantir uma implantação suave.
Pré-requisitos
- Você deve ter pelo menos a licença Microsoft Entra ID P1 .
- Você deve ter unidades de computação de segurança (SCU) disponíveis.
- Os papéis de Administrador de Acesso Condicional e Administrador de Segurança podem modificar as definições de implementação faseada.
- Os locatários devem ter pelo menos cinco grupos definidos que são usados atualmente nas políticas de Acesso Condicional para que o agente gere um plano de distribuição em fases.
Como funciona
Quando o Agente de Otimização de Acesso Condicional cria uma nova política em modo apenas de relatório, pode sugerir ativar a política com uma implementação faseada. O agente analisa os dados de entrada e as políticas existentes para definir um plano de distribuição em fases.
As políticas que se destinam a ser aplicadas a todos os usuários e precisam ser ativadas são qualificadas para uma distribuição em fases. Como há cinco fases distintas para um plano de implantação, você deve ter pelo menos cinco grupos para que o plano de implantação seja aplicado. Para determinar quais grupos usar, o agente examina os grupos que foram usados anteriormente ou são usados atualmente em diretivas de Acesso Condicional. O agente examina esses grupos para ver como outras políticas de Acesso Condicional os afetaram, para avaliar o impacto potencial. O agente analisa o tamanho dos grupos e depois usa todos estes fatores para atribuir os grupos às fases, começando pelos grupos de baixo impacto e terminando pelos grupos de maior impacto.
Há três etapas no processo de distribuição em fases:
- O agente cria uma política somente de relatório com uma distribuição em fases
- O administrador analisa, edita e aceita o plano de distribuição
- O agente ou administrador executa o plano de distribuição aprovado
Pode rever os grupos incluídos em cada fase e fazer alterações antes e durante a implementação faseada. Quando a primeira fase começa, uma nova política é criada e ativada para os grupos incluídos na primeira fase. A política original do modo somente relatório permanece intacta.
O agente cria uma política somente de relatório com uma distribuição em fases
O agente cria uma política somente de relatório e cria um plano de distribuição em fases separado. Os planos de implantação incluem cinco fases, começando com grupos pequenos e de baixo risco e progredindo para grupos maiores e de alto risco.
Na lista de sugestões do agente, procure Distribuição em fases sugerida na coluna Ações executadas pelo agente .
O administrador analisa, edita e aceita o plano de distribuição
Os administradores precisam de rever os detalhes do plano, incluindo os grupos incluídos em cada fase, o calendário de cada fase e a forma como o plano é executado.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Agente de Otimização de Acesso Condicional e selecione o botão Revisar sugestões para obter uma sugestão de política que inclua uma distribuição em fases.
Na página de detalhes da política, selecione Fases de revisão.
Selecione Editar grupos para editar os grupos incluídos na fase.
Selecione o botão Iniciar lançamento faseado no painel de detalhes da política ou na página de detalhes do lançamento faseado. O agente cria a nova política apenas em modo de relatório.
Sugestão
Pode pausar o lançamento ou marcar o lançamento como concluído a qualquer momento.
O administrador executa o plano de implementação aprovado
São-lhe dadas várias opções para gerir a implementação em fases durante a implementação. Durante cada fase, o agente monitoriza a atividade relacionada com a política para garantir que não há erros ou problemas. Podes ajustar os grupos para fases que ainda não começaram. A movimentação entre fases ou a conclusão da implementação é feita utilizando os botões no topo da página.
- Selecione Mover para a próxima fase para avançar em cada fase do lançamento.
- Selecione Reverter à fase anterior para cancelar a fase atual e voltar à fase anterior.
- Selecione Marcar a implementação como concluída para aplicar a nova política a todos os grupos e concluir a implantação.
Salvaguardas incorporadas
Depois que a distribuição em fases começar, você não poderá atualizar os controles de concessão da política. Se forem feitas alterações nos controles de concessão, a distribuição em fases será cancelada. Se mais de 10% de entradas forem bloqueadas pela nova política durante qualquer fase, a distribuição será imediatamente pausada. O administrador é notificado para que os detalhes possam ser revisados e potencialmente modificados.
Perguntas frequentes
Como funciona o recurso de distribuição em fases?
Depois de selecionar os grupos aos quais cada fase se aplica, o agente cria uma política de Acesso Condicional duplicada que inclui apenas o grupo da primeira fase. A política de Acesso Condicional original persiste no modo somente relatório e tem como alvo todos os usuários, para que você possa continuar a coletar dados. Quando a implantação avança para a próxima fase, o lote de grupos é adicionado à política de Acesso Condicional habilitada. O agente monitora como cada estágio afeta as entradas associadas a essa política. Se a taxa de sucesso cair abaixo de 90%, a distribuição em fases será interrompida e a política habilitada será colocada novamente no modo somente relatório. Em seguida, você pode revisar os logs para determinar por que as entradas estavam falhando antes de tentar a distribuição em fases novamente.
Tenho de ativar a distribuição faseada?
O recurso de distribuição em fases é ativado por padrão. Para desativá-lo, vá para a guia Configurações na página Agente de Otimização de Acesso Condicional. Em Distribuição faseada, alterne o botão para Desativado.